被稱為“安全殺手”的“AV終結(jié)者”病毒背后凸顯出人為縱毒和病毒集團(tuán)化運(yùn)作的痕跡

　　被稱為“安全殺手”的AV終結(jié)者病毒近日愈演愈烈，截止到6月12日，變種數(shù)已達(dá)500多個(gè)，波及人群超過10萬人。

　　病毒專家指出，“AV終結(jié)者”病毒的破壞過程被精心策劃，用戶一旦感染，幾乎所有的解決途徑均遭破壞，很難清除。

　　6月18日，中國經(jīng)濟(jì)時(shí)報(bào)記者采訪金山毒霸全球反病毒應(yīng)急處理中心時(shí)獲悉，經(jīng)過金山毒霸反病毒工程師的嚴(yán)密分析，被稱為“安全殺手”的“AV終結(jié)者”病毒背后凸顯出人為縱毒和病毒集團(tuán)化運(yùn)作的痕跡。

　　在金山毒霸反病毒工程師李鐵軍的敘述中，這個(gè)被稱為謎一樣的病毒一點(diǎn)點(diǎn)現(xiàn)出原形。

　　人為縱毒露馬腳

　　自6月8日開始，金山毒霸反病毒工程師李鐵軍開始發(fā)現(xiàn)各種論壇、貼吧等地方出現(xiàn)了越來越多的關(guān)于該病毒的咨詢，而金山毒霸的客服中心關(guān)于該病毒的咨詢量也迅速飆升，這個(gè)病毒的日咨詢量達(dá)到了金山毒霸客服部門日常咨詢量的3倍以上。

　　6月8日晚，李鐵軍遠(yuǎn)程協(xié)助一位朋友完成了對一個(gè)“AV終結(jié)者”新變種的清除。在清除時(shí)李鐵軍發(fā)現(xiàn)該病毒將殺毒軟件關(guān)閉后迅速在該機(jī)器上下載了數(shù)十個(gè)夢幻西游、魔獸、還有大話春秋的盜號(hào)木馬。李鐵軍發(fā)現(xiàn)普通用戶對殺毒軟件是否正常工作并不太關(guān)注，而中了這個(gè)病毒之后，系統(tǒng)的其他功能基本正常。性能沒有降低，并不影響用戶上網(wǎng)，只是所有含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”、“360”、“金山社區(qū)”、“卡卡社區(qū)”、“殺毒”、“病毒”、“木馬”、“專殺”等敏感字符串的軟件和進(jìn)程以及與此有關(guān)的網(wǎng)站全部無法打開。李鐵軍逐漸感覺到這個(gè)病毒的不尋常。

　　一個(gè)通過U盤和移動(dòng)硬盤傳播的病毒如何引起這樣大規(guī)模的傳播呢？僅僅依靠病毒自然衍生，顯然不能做到這一點(diǎn)。那么第一個(gè)入侵電腦的“AV終結(jié)者”又是通過哪個(gè)途徑入侵的呢？

　　李鐵軍與金山毒霸珠海研發(fā)中心的反病毒工程師戴光劍通過長途電話和網(wǎng)絡(luò)徹夜長談。

　　他們得出這樣一個(gè)結(jié)論：人為地將制作完成的“AV終結(jié)者”病毒通過U盤在網(wǎng)吧等公共上網(wǎng)場所傳播。聯(lián)想到近一段時(shí)間廣泛出現(xiàn)的嚴(yán)重的網(wǎng)站掛馬事件，以及不久前廣泛出現(xiàn)的利用ARP欺騙，讓整個(gè)局域網(wǎng)用戶下載木馬病毒的事件，他們認(rèn)為還有一種簡單有效的方式就是攻擊企業(yè)的公眾服務(wù)器。除了攻擊企業(yè)的公眾服務(wù)器，還可以攻擊企業(yè)內(nèi)部的服務(wù)器，用同樣的方法攻入企業(yè)內(nèi)部網(wǎng)絡(luò)，展開ARP攻擊，迅速讓掛馬現(xiàn)象在整個(gè)公司網(wǎng)絡(luò)中蔓延。

　　這一結(jié)論很快得到其他安全廠商的認(rèn)同。

　　病毒呈公司化運(yùn)作

　　然而在這個(gè)問題之后一個(gè)更大的謎團(tuán)是：如果是人為縱毒，那么是誰在背后主使著這一切？縱毒目的又是什么？

　　該病毒的目的很明確，封掉了用戶的一切求助手段之后，病毒就會(huì)在用戶毫無察覺的情況下下載數(shù)百種盜號(hào)木馬、廣告木馬、風(fēng)險(xiǎn)程序......這一切的背后都是利益。

　　李鐵軍和戴光劍認(rèn)為，“AV終結(jié)者”病毒的泛濫太像“熊貓燒香”病毒，只是運(yùn)作這個(gè)利益鏈的盜號(hào)集團(tuán)，比“熊貓燒香”的作者李俊更加小心謹(jǐn)慎，手法也更隱晦。

　　幕后黑手通過自己或者主使人將病毒傳播到目標(biāo)計(jì)算機(jī)后，立即展開破壞行動(dòng)，“干掉”安全軟件和windows防火墻以及自動(dòng)更新，并讓所有與病毒、安全等有關(guān)的論壇全部無法打開，而且在重裝系統(tǒng)后仍殘留在系統(tǒng)中。通過這一切手段讓系統(tǒng)安全防御措施變成瞎子之后，大量下載各種目的不一的后門程序和木馬。

　　戴光劍通過技術(shù)測試分析出“AV終結(jié)者”會(huì)下載數(shù)十種不同目的的木馬后門程序，并且這些后門程序會(huì)像“灰鴿子”一樣時(shí)時(shí)更新。另外還有百余種盜QQ號(hào)碼的、盜網(wǎng)游帳號(hào)和裝備的、盜網(wǎng)銀帳號(hào)的木馬。這些木馬的制作者或者下游的購買者再拿走這個(gè)盜號(hào)鏈條上的自己所需要或者感興趣的任何東西。

　　在“AV終結(jié)者”的整個(gè)利益鏈條中，任何一個(gè)階段都采用了多種不同種類的病毒和攻擊手段，任務(wù)的復(fù)雜度超過了以前出現(xiàn)的所有病毒。若不是一個(gè)計(jì)劃周密的公司或者組織，是無法完成這一任務(wù)的。

　　未解之謎

　　戴光劍通過技術(shù)手段分析出，為無數(shù)木馬和后門程序以及其他病毒打開方便之門的“AV終結(jié)者”會(huì)從如下地址下載各種木馬病毒：http?／／head.bodyhtml.biz／update／update.Txt等。

　　而通過這些木馬病毒的下載地址很容易查出背后的控制者是誰。這些下載服務(wù)器是整個(gè)利益鏈條中的聚合器。擁有或控制這些站點(diǎn)的人，將因此受益，但他們也終將會(huì)為此付出代價(jià)。

　　而面對這些，反病毒工程師只能感嘆自己不是執(zhí)法機(jī)構(gòu)，這些未解的謎只能等待執(zhí)法機(jī)構(gòu)一一去查證了。

標(biāo)簽： 安全 防火墻 服務(wù)器 計(jì)劃 企業(yè) 網(wǎng)絡(luò) 網(wǎng)站 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。